Seguridad de redes OT

La gran interconectividad que existe en la actualidad gracias a los dispositivos conocidos como el Internet de las cosas, o IoT por sus siglas en inglés (Internet of things), permiten administrar nuestro día a día, simplificando la jornada laboral. Conlleva, evidentemente, al crecimiento de interconexión, lo cual trae consigo la posibilidad de violación de datos, generando la necesidad de proteger los dispositivos o sistemas conectados contra la divulgación o ataque basado en la red usando diversas herramientas.

Ciberseguridad
Honeypots en IoT
Tipos de Honeypots

Los honeypots se pueden dividir principalmente en dos de acuerdo a los objetivos que se les den, existen los de producción y los de investigación:

Honeypots de producción

Son fáciles de implementar y mantener, van destinados a utilizarse en entornos de producción de empresas. Es impulsado por la necesidad de lograr un mayor nivel de seguridad, no obstante, recopila menor cantidad de información. También dan respuesta a la empresa sobre por qué reciben ciberataques y cuál es el motivo de que los ciberdelincuentes se hayan fijado en esa empresa.

Honeypots de investigación

Normalmente los utilizan organizaciones sin ánimos de lucro e instituciones educativas donde su objetivo es descubrir nuevas amenazas, aprender y estudiar acerca de técnicas de ataque, para poder mejorar la protección de un sistema de los distintos patrones de ataque y amenazas.

No aportan ningún valor directo a la seguridad de una organización puesto que no se implementan para proteger redes, sino que se usan generalmente para la investigación y análisis forense de redes de forma que se puedan entender los ataques en curso y los objetivos de los atacantes para crear nuevas contramedidas.

Clasificación de honeypots según la interacción del hacker

Por su parte, los honeypots pueden clasificarse de acuerdo al nivel de interacción que se le permitirá tener al hacker con el sistema una vez que esté infectado, a mayor cantidad de datos que se quieran recopilar mayor deberá ser la interacción, pero esto conlleva un mayor riesgo para la seguridad de la red, por ello existen tres categorías de interacción principales, baja, media y alta, pero se suma también una mixta:

Baja interacción

Presentan a los atacantes servicios emulados con un subconjunto limitado de funcionalidades que van destinadas a imitar aplicaciones u otros sistemas o equipos de la red. Tiene como objetivo detectar principalmente fuentes de actividad no autorizadas. Así, el analista de seguridad puede obtener la menor cantidad de datos comparado con otros honeypots.

Su implementación se basa en instalar un software emulador de SO, seleccionar el SO y los servicios que se desean emular, establecer la estrategia de monitoreo y dejar que el software opere por su cuenta de forma normal. No obstante, dependiendo del propósito que se tenga, un honeypots de baja interacción puede ser un sistema simple que, por ejemplo, solo monitoree las conexiones entrantes, o puede ser un sistema complejo dedicado a la descarga de nuevas muestras de malware.

Estos honeypots de baja interacción que usan sistemas emulados permiten limitar las actividades del atacante al nivel y calidad de emulación que tenga el honeypot, pues la emulación de los servicios mitiga el riesgo de penetración conteniendo al intruso y evitando que acceda al SO real y cause daños en otros sistemas dentro de la red.

Como beneficio, este tipo de honeypots son sencillos de implementar, configurar, usar y mantener, los riesgos son mínimos, pero para un atacante experto son relativamente fáciles de detectar porque pueden identificar las capacidades de emulación de servicios.

Alta interacción

Son de los honeypots más avanzados, y permiten que el atacante interactúe con el SO real, dándole la posibilidad de que pueda realizar cualquier cosa solo para poder capturar la mayor cantidad de información sobre sus técnicas de ataque. Son una solución más compleja porque implican el uso de SO y aplicaciones reales implementadas en hardware real que se ejecutan de forma normal.

Tiene ventaja si se quiere almacenar en caché, rastrear y monitorear las actividades y motivaciones de un atacante humano, pues le permite descargar archivos e instalar herramientas, proporcionando grandes cantidades de información. Generalmente, los atacantes, después de un compromiso exitoso del honeypot, instalan un kit de raíz que oculte sus acciones y les permita controlar de forma remota el sistema comprometido.

Estos honeypots de alta interacción requieren de mucho tiempo y son difíciles de mantener, se debe realizar una limpieza adecuada y la reinstalación después de cada infección exitosa, para poder observar ataques posteriores independientes del ataque inicial, pero este proceso, a pesar de la ayuda de la virtualización, es lento y no permite el uso del honeypot durante la reinstalación.

Interacción mixta

Para resolver la problemática de la baja escalabilidad de los honeypots de alta interacción se propone un enfoque mixto que combine la interacción alta con la baja, introduciendo una estructura de dos pasos. En el primer paso, se procesa todo el tráfico por componentes de baja interacción que permiten cubrir una amplia gama de direcciones IP. Este honeypot de baja interacción filtra todos los ataques nunca antes vistos y los retransmite al sistema de alta interacción.

Así se pueden descartar todos los ataques conocidos anteriormente sin tener que usar los recursos del honeypot de alta interacción, y en el segundo paso, las conexiones seleccionadas se transmiten al componente de alta interacción para que sean analizadas, analizando solo aquellos ataques que sean desconocidos y por tanto, más interesantes.

Interacción media

Dan una interacción expandida de los honeypots de baja interacción, pero en menor medida que los de alta interacción. Proporcionan una implementación parcial de servicios y no permiten la interacción completa con el sistema. No permite que el SO esté expuesto directamente, pero sí se puede obtener más información y ataques más complejos por parte del atacante.

Un ejemplo es que en un sistema de interacción media se implemente parcialmente un protocolo HTTP para emular la ejecución de un proveedor conocido. Al ser más avanzado, tendrá más errores de seguridad que el hacker aprovechará para acceder al sistema.

Como puedes ver, esta herramienta es de mucha utilidad, pero evidentemente para que funcione, primero debes configurar tu sistema de red de tal forma que, cuando cualquier atacante entre a la red, lo primero que encuentre sea el sistema honeypot que hayas implementado y sus ataques se centren en ellos. Además, los honeypots en IoT, como todo sistema informático, también tienen desventajas, fallos y vulnerabilidades, ya que ellos solo pueden detectar ataques que vayan contra ellos mismos, y registrar los datos de dichos ataques, pero no lo van a poder parar.

Honeypots en el Internet de las Cosas, IoT

Los ciberdelincuentes, cada vez que sale un nuevo dispositivo al mercado, encuentran nuevos vectores de ataque y nuevas técnicas de piratería para apoderarse de los sistemas. Así que es necesario monitorear y asegurar constantemente los ecosistemas de IoT, tener la capacidad de detectar nuevos patrones y botnets emergentes, ataques DDoS, malware y exploirt de día cero.

Entre todas las herramientas que han surgido, se encuentra el honeypot. Cuenta con una red aislada y separada, que imita una red real de valor y atractiva para los atacantes. Este es un sistema trampa o señuelo, que puede actuar y verse como uno real, para hacer caer a los atacantes en él y de esa forma poder monitorear la interacción entre éstos y el dispositivo infectado.

Por tanto, se utiliza como herramienta en la seguridad informática, dispuesto en una red o sistema informático para ser el objetivo de los posibles ataques informáticos y así poder detectarlos, y obtener al mismo tiempo información de este y del atacante.

Se considera una herramienta de pentesting, de mucha utilidad para los investigadores de seguridad, que les permite reconocer los ataques y las herramientas de engaño que usan los atacantes. Así que es de suma importancia su implementación en IoT, ya que es de las plataformas más usadas hoy en día para obtener información de ataques emergentes contra diferentes tipos de software o los patrones de ataque, generar informes para analizar y proporcionar datos de inteligencia que serán usados posteriormente para crear técnicas de prevención contra amenazas de red.

¿Cómo funcionan los honeypots?

Estos sistemas trampa se configuran en una máquina virtual o un servidor en la nube, conectados a una red, pero aislados y monitoreados estrictamente por equipos de sistemas y redes. Estos se diseñan de forma que sean intencionalmente vulnerables para que así los atacantes los detecten gracias a sus debilidades, y ahí se centrarán e intentarán explotarlas para intentar atacarlas usando spam, phishing, DDoSo cualquier otro método.

Las debilidades que suelen usarse son agujeros de seguridad dentro de una aplicación, vulnerabilidades del sistema como puertos abiertos innecesarios, versiones desactualizadas de software, contraseñas débiles o un kernel antiguo sin parches.

Cuando el atacante identifica la vulnerabilidad, intenta lanzar el ataque y escalar los privilegios hasta que obtenga cierto control de la caja o aplicación, pero realmente un administrador de honeypot está observando cada paso que ese atacante da, y recopilando información que lo ayudará a fortalecer sus políticas de seguridad y a su vez, informar a las autoridades legales de lo que ocurre.

Los honeypots en IoT distraen la atención de los atacantes de los datos importantes alojados en las redes reales. Además, en general, todas las conexiones que se den a esta herramienta pueden ser tratadas como hostiles, ya que son pocas las razones que puedan motivar a un usuario legitimo a conectarse a este tipo de sistema.

Para configurarlo deberás saber qué nivel de dificultad de piratería quiere exponer al atacante, porque si es demasiado fácil, el atacante puede perder el interés o incluso darse cuenta de que no es un sistema de producción real y, si por el contrario, está demasiado reforzado, entonces no podrá recopilar ninguna información. Lo recomendable en cuanto a este punto es seleccionar una dificultad media para que simule un sistema real.

Sin embargo, se debe tener en cuenta que un atacante avanzado con suficiente nivel de conocimiento técnico puede identificar señales de que se encuentra en un honeypot. Además, existen detectores de honeypot automatizados que permiten identificar las direcciones IP de estos sistemas y facilitan la información a los atacantes que no tienen tanto conocimiento técnico.

Nuestro blog

Artículos de interés sobre la actualidad de la transformación digital.

Realidad aumentada vs Realidad virtual
| Ginzo Technologies |
realidad virtual
La frontera entre el mundo real y el mundo virtual continúa rompiéndose, proporcionando experiencias increíbles, que hace poco, solo podían encontrarse en la imaginación de los escritores de ciencia ficción. A medida que las nuevas tecnologías se van incorporando en las rutinas diarias del ser humano, se crean n...
Las principales tendencias Front-end
| Ginzo Technologies |
Programación
El desarrollo Front-end es la implementación de la interfaz de usuario de la web por medio de lenguajes de codificación como JavaScript, HTML y CSS. Un diseño web explica cómo aparece un sitio web, mientras que el desarrollo precisa cómo se implementa un diseño web en el sitio web. Acoger las últimas técnicas...
Diferencias entre inteligencia artificial (IA) y aprendizaje automático
| Ginzo Technologies |
inteligencia artificial
El aprendizaje automático (ML) (el Machine Learning) y la inteligencia artificial (IA) son habilidades demandadas por los empleadores y cambian cada vez más el mundo que nos rodea. Desde el impulso de las nuevas tecnologías como los vehículos autoconducidos hasta la mejora de procesos como diagnósticos médicos o...
Laravel y sus características para desarrolladores
ordenadores
Laravel es uno de los más usados con mayor comunidad en el mundo del internet. Es bastante moderno, ofreciendo muchas utilidades potentes a los desarrolladores, permitiendo agilizar el desarrollo de las aplicaciones webs. Laravel pone gran énfasis en la calidad del código, la facilidad de escalabilidad y manteni...
Compras en la aplicación vs Compras por pasarelas de pagos
compra online
Si eres emprendedor online o bloguero y deseas comenzar a vender por medio de tu web, como si tienes una empresa pequeña con presencia digital y quieres aumentar las ventas, requieres de un buen sistema de pago online. Al referirse a un buen sistema de pago, hablamos de herramientas que permitan gestionar y tram...
Fluyezcambios ¿Que es? Concurso SEO 2022
fluyezcambios concurso seo 2022
Fluyezcambios es una nuevo concurso de posicionamiento web que ahora mismo es tendencia en los motores de búsqueda, especialmente en el buscador de Google en Perú. ¿Qué tipo de concurso es FLUYEZCAMBIOS? La palabra "Fluyezcambios" proviene del primer concurso de optimización de motores de búsqueda que se cele...
Principales tendencias del Internet of things (IOT)
tecnología
El Internet de las Cosas (IOT) está configurando tanto el mundo industrial como el de los consumidores. Las tecnologías inteligentes seguirán penetrando todas las capas de los sectores empresarial y del consumo. Es decir, desde la salud hasta los comercios, pasando por la logística o las finanzas, donde cada ...
Buenas prácticas para los servicios de desarrollo de Node.js
Servicios de desarrollo de Node.js
Node.js es uno de los entornos de código abierto que tiene la capacidad de trabajar mientras se ejecuta, cuenta con la característica de ser multiplataforma, por ende, son muchos los desarrolladores que le dan un uso y le tienen como una gran herramienta. Las buenas prácticas para los servicios de desarrollo de Nod...
¿Qué es el SaaS o software as a service?
Uso del SaaS
Todos los que conocen de sistemas y administración de servidores saben lo difícil que es para una empresa que vende software dar soporte al usuario. Por lo general, una empresa que desarrolla un sistema, debe dar al cliente el soporte adecuado para instalación, mantenimiento y buen funcionamiento del sistema vendid...
El futuro de la IA y los chats bots en negocios
Inteligencia artificial
La IA es una tecnología que ya no sólo pertenece a la ciencia ficción, en estos tiempos ya podemos ver como empieza a tomar importancia en el mundo real. Pero, esperamos que no suceda como en muchas películas de Hollywood en las que la Inteligencia Artificial decide acabar con la humanidad. Más bien, esperamos que ...

Descubre nuestras áreas de desempeño

Durante estos últimos ocho años, hemos conseguido consolidar un equipo de profesionales multidisciplinar que avala con su formación, experiencia y dedicación cada una de las áreas de negocio.

DATA SCIENCE
Estudios avanzados sobre tu operatica y dato.

  • Análisis de datos.
  • Modelado de datos.
  • Correlación estadística.
  • Business Intelligence.
  • Perfilado de cliente.
  • Machine Learning.
ÁREA DE MATEMÁTICA APLICADA
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Investigación y Desarrollo.
  • Problemas complejos.
  • Optimización de procesos.
DESARROLLO DE SOFTWARE
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Desarrollo Backend.
  • Desarrollo Frontend.
  • Desarrollo Apps Mobile.
  • Agile.
  • Scrum.
BLOCKCHAIN
Especializados en Tokenización y Certificación de procesos

  • Proyectos en Blockchain de trazabilidad.
  • Proyectos en Blockchain de seguridad y tokenizacion.
  • Proyectos de diseño de ICO para empresas.
SISTEMAS E INFRAESTRUCTURAS IT
Auditoría, estudio y mejora, de sistemas e infraestructuras de la información.

  • Proyectos DevOps.
  • Kubernetes as a service - KaaS.
  • Gemelos digitales.
  • Diseño Cloud.
  • Diseño de directorio activo y sistema LDAP.
  • Soluciones de correo electrónico avanzadas.
CIBERSEGURIDAD
Equipo especializado en monitorización, análisis y actuación ante ataques de serguridad.

  • Pentesting.
  • Seguridad de redes IT.
  • Seguridad de redes OT.
  • Honeypots en IoT.
  • Seguridad gestionada.

Oficinas Centrales
Francisco de Quevedo Nº18, 1B y 1C
Logroño · La Rioja

Sede Bilbao
Done Bikendi 7, 1A
Bilbo · Bizkaia

info[@]ginzo.tech · +34 941 57 57 57

Contacta con nosotros a través de nuestro formulario de contacto. Te rogamos revises nuestra politica de privacidad. No enviamos spam,  simplemente responderemos a tu solicitud de la manera más ágil posible.

¿Preparado para empezar?

Puedes revisar nuestra política de privacidad haciendo clic aquí